2009年计算机最新病毒预报！谨慎！！！

病毒名称：Backdoor.Win32.IRCbot.
中 文 名：代IRC波特变种WZG
病毒类型：病毒
影响平台：Win 9X/ME/NT/2000/XP/2003
该病毒是基于IRC的后门程序，黑客可以通过IRC软件对中毒电脑进行控制，对外发动攻击等。
该病毒运行后复制自身到驱动程序目录下，文件名为wmiadapi.exe，并在注册表中添加名为“AutoDiscovery/AutoPurge (ADAP) Service”的项目，实现开机自动运行。病毒还会在中毒电脑上开设后门，自动连接cftp.dawn****.info接受远程指令，黑客可以利用IRC软件对染毒的计算机进行远程控制，进行多种危险操作。同时，该病毒还会自动修改系统文件，使系统一些正常的网络功能遭到破坏。

二，漏洞 报告
NetGear WG102 SNMP写权限团体字符串信息泄露漏洞
Netgear WG102 4.0.16
描述：
BUGTRAQ   ID: 33181
NetGear WG102是一款小型的无线宽带路由器。
如果用户在WG102路由器上拥有SNMP读访问权限（默认）的话，就可以通过MIB读取以明文存储的SNMP写团体口令。之后攻击者就可以通过这个口令获得SNMP写权限，重新配置路由器，包括将RADIUS认证重新定向到恶意的路由器。
<*来源：Harm S.I. Vaittes
   链接：http://marc.info/?l=bugtraq&m=123151803321272&w=2
*>
测试方法：
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
* 启用snmp（默认）然后设置不同的SNMP读写口令字符串，在另一台机器上执行：
snmpwalk -c READPASSWORD -v2c IP SNMPv2-SMI::enterprises.4526.4.3
口令存储在了...4526.4.3.8.4.0和...4526.4.3.8.5.0。
建议：
--------------------------------------------------------------------------------
厂商补丁：
Netgear
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.netgear.com/

三.针对上述情况,专家建议采取以下措施预防：
1、建立良好的安全习惯，不打开可疑邮件和可疑网站；
2、很多病毒利用漏洞传播，一定要及时给系统打补丁；
3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；
4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。
5、为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播

病毒名称：Worm.Win32.DownLoader.mu
中 文 名：下载器蠕虫变种MU
病毒类型：病毒
影响平台：Win 9X/ME/NT/2000/XP/2003
该病毒会伪装自己为微软系统文件，关闭很多杀毒软件，以躲避对其查杀，然后链接一个网站下载大量木马到本机运行，导致清除病毒困难。
病毒运行后，病毒会伪装自己为微软系统文件spoolsv.exe，伪造微软文件spoolsv.exe的版本信息，并且替换微软的文件spoolsv.exe。病毒运行后会把系统文件spoolsv.exe移动到C盘根目录下改名为ttmm.tep。检查安全软件的进程，如果有就结束掉，然后对大多数安全软件的文件名进行映像劫持，以躲避杀毒软件对其的查杀。然后在每个盘和移动盘创建文件AUTORUN.INF和ZGZF.PIF，达到双击盘符运行病毒的目的。修改注册表启动项，达到开机自动运行的目的。最后连接网站http://www.xxxx.com，下载大量木马病毒，然后存放在C:\Documents and Settings\目录下，其中一个下载后存放在C:\Program Files\目录下，此病毒容易反复感染，彻底清除困难。
二，漏洞报告
PDFBuilderX ActiveX控件SaveToFile()方式任意文件覆盖漏洞
受影响系统：
Ciansoft PDFBuilderX 2.2.0.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ   ID: 33233
PDFBuilderX是用于创建和保存PDF文件的ActiveX控件。
PDFBuilderXTrial.PDFDoc ActiveX控件（PDFBuilderXTrial.ocx）没有正确地验证对SaveToFile()方式所提供的输入，如果用户受骗访问了恶意网页并向该方式传送了恶意参数的话，就可能导致向系统上写入任意文件。
<*来源：Alfons Luja
   链接：http://secunia.com/advisories/33427/
*>
建议：
--------------------------------------------------------------------------------
临时解决方法：
* 为受影响的ActiveX控件设置kill-bit。
厂商补丁：
Ciansoft
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.ciansoft.com/pdfbuilderx/default.asp
三.针对上述情况,专家建议采取以下措施预防：
1、建立良好的安全习惯，不打开可疑邮件和可疑网站；
2、很多病毒利用漏洞传播，一定要及时给系统打补丁；
3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；
4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。
5、为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播。
蠕虫变种：Worm:W32/Downadup.AL
其他命名：
Worm:Win32/Conficker (Microsoft)
W32/Conficker.worm.gen (Symantec)
Mal/Conficker (Sophos)
性质：蠕虫
平台：Windows
传播途径：系统传播、网络传播。
中毒症状：
1.释放如下文件：
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
2.感染移动存储介质：
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf
3.注入进程：
svchost.exe
explorer.exe
services.exe
3.停用下面系统服务：
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
4.Vista下还会运行下面命令行语句：
netsh interface tcp set global autotuning=disabled
5.该蠕虫使用api hook，
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
劫持用户访问带有下列字符的网站：
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
nai
ca
avp
avg
vet
bit9
sans
cert

6.修改以下注册表项达到迅速传播的目的：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE
7局域网通过IPC$传播，通过空口令和猜解下列弱口令，
[username]
[username][username]
[reverse_of_username]
00000
0000000
00000000
0987654321
11111
111111
1111111
11111111
123123
12321
123321
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
22222
222222
2222222
22222222
33333
333333
3333333
33333333
44444
444444
4444444
44444444
54321
55555
555555
5555555
55555555
654321
66666
666666
6666666
66666666
7654321
77777
777777
7777777
77777777
87654321
88888
888888
8888888
88888888
987654321
99999
999999
9999999
99999999
a1b2c3
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
files
foobar
foofoo
forever
freedom
games
home123
ihavenopass
Internet
internet
intranet
killer
letitbe
letmein
Login
login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass1
pass12
pass123
passwd
Password
password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root123
rootroot
sample
secret
secure
security
server
shadow
share
student
super
superuser
supervisor
system
temp123
temporary
temptemp
test123
testtest
unknown
windows
work123
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzzzz
然后自身复制传播。
8.通过MS08-067漏洞传播。
9.开放http服务传播。
10.上网下载病毒文件。
11.修改以下注册表项：
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List, [PortNumber]:TCP = "[PortNumber]:TCP:*Enabled:[random]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = "\...\%MalwarePath%\[random].tmp"
DisplayName = [Random]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = %ServiceName%
Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
Description = %description%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]\Parameters
ServiceDll = %MalwarePath%

解决方法：
1.升级安装windows补丁，MS08-067漏洞补丁极为重要。
2.谨慎使用优盘等移动介质。
3.安装防病毒软件，并升级到最新病毒库。
4.为windows设置一个较为强劲的密码。
5.如果发现局域网中感染，立即切断其网络进行处理。
6.专杀工具：ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
http://www.wmsoftware.com/download.aspx?product=chktrust
==========================================================
紧急安全通告
严重安全漏洞：Microsoft 安全公告 MS09-001
受影响系统：
Microsoft Windows 2000 所有版本
Microsoft Windows XP 所有版本
Microsoft Windows Server 2003 所有版本
Microsoft Windows Vista 所有版本
Microsoft Windows Server 2008 所有版本
漏洞描述：
SMB中存在漏洞可能允许远程执行任意代码。成功利用这些漏洞的攻击者可以安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。
微软安全公告地址：
http://www.microsoft.com/china/t ... letin/MS09-001.mspx
解决方案：
微软在安全公告中已经给出了系统补丁。请下载更新。

病毒名称：Worm.Win32.VB.sw
中 文 名：代理蠕虫变种SW
病毒类型：病毒
影响平台：Win 9X/ME/NT/2000/XP/2003
该病毒是一个文件夹类似的图标，病毒运行后会在系统根目录下复制大量的自己，病毒会修改开始菜单的位置和ie主页，以下载大量病毒，病毒清除非常困难。
该病毒是由VB编写，一个文件夹类似的图标，病毒运行后会在系统根目录下复制大量的自己，并且命名为不同的名字，还会替换一些系统文件。会在根目录下释放Autorun.inf，当在打开Windows目录和system32目录的时候，病毒会关闭这个文件夹，不让访问，以躲避手工杀毒。病毒会修改开始菜单的位置，当鼠标放到这个开始菜单上时，这个菜单会随机移动，不让点击。病毒还会修改大量注册表，以实现开机启动目的。病毒会修改IE主页，以达到下载新病毒的目的，使用户容易反复感染，很难彻底清除。
二.针对上述情况,专家建议采取以下措施预防：
1、建立良好的安全习惯，不打开可疑邮件和可疑网站；
2、很多病毒利用漏洞传播，一定要及时给系统打补丁；
3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；
4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。
5、为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

病毒名称：Trojan.Spy.Win32.KeyLogger.eom
中 文 名：键盘记录器木马变种EOM
病毒类型：病毒
影响平台：Win 9X/ME/NT/2000/XP/2003
该病毒会借助记事本进程，记录用户电脑所有的键盘输入信息，并发到黑客指定的邮箱和网站，使用户信息丢失。
该病毒是一个记录键盘消息的木马，病毒运行后把自身复制到system32目录下,然后再释放logx.dll和Mail.dll。病毒会修改注册表键值，达到开机自动启动的目的。病毒会启动notepad.exe进程，然后这两个动态库就会注入到notepad.exe里面，开始监控键盘的消息，当发现键盘有消息键入的时候，就会把记录下的信息保存到system32目录下的MaildllSyvc.sys文件里，然后在设定的时间把MaildllSyvc.sys里的内容发送到作者的设定的邮箱或者是指定的网站里，使用户的个人信息外泄。


二，漏洞报告
Asterisk IAX2认证响应信息泄露漏洞
受影响系统：
Asterisk Asterisk 1.6.x
Asterisk Asterisk 1.4.x
Asterisk Asterisk 1.2.x
Asterisk Business Edition C.2.x.x
Asterisk Business Edition C.1.x.x
Asterisk Business Edition B.x.x
Asterisk s800i 1.2.x
不受影响系统：
Asterisk Asterisk 1.6.0.3-rc2
Asterisk Asterisk 1.4.23-rc4
Asterisk Asterisk 1.2.31
Asterisk Business Edition C.2.1.2.1
Asterisk Business Edition C.1.10.4
Asterisk Business Edition B.2.5.7
Asterisk s800i 1.3.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ   ID: 33174
CVE(CAN) ID: CVE-2009-0041
Asterisk是开放源码的软件PBX，支持各种VoIP协议和设备。
Asterisk IAX2在认证期间对用户不存在的情况和错误口令的情况提供了不同的响应，这允许攻击者通过扫描主机确定特定的用户。
<*来源：Tilghman Lesher （tlesher@digium.com）
   链接：http://secunia.com/secunia_research/2008-13/
*>
建议：
--------------------------------------------------------------------------------22222
厂商补丁：
Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://downloads.digium.com/pub/security/AST-2009-001-1.2.diff
http://downloads.digium.com/pub/security/AST-2009-001-1.4.diff  
http://downloads.digium.com/pub/security/AST-2009-001-1.6.0.diff
三.针对上述情况,专家建议采取以下措施预防：
1、建立良好的安全习惯，不打开可疑邮件和可疑网站；
2、很多病毒利用漏洞传播，一定要及时给系统打补丁；
3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；
4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。
5、为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

（非特殊说明，本文版权归原作者所有，转载请注明出处 ）
鸣人致力于为企业提供数据恢复、机房建设、数据库运行、运营及安全等全方位服务。

想在手机上、随时获取互联网前沿、设计资讯以及各种意想不到的"福利"吗？通过微信扫描二维码快速添加